清水理史の「イニシャルB」

国のIoT機器調査「NOTICE」が20日から実施、その前にやっておきたい自宅のセキュリティチェック

 2月20日から、総務省とNICTによるプロジェクト「NOTICE」が開始される。これにより、自宅やオフィスにあるネットワーク機器のうち、外部からアクセス可能な製品に関して、悪用される恐れがないかをチェックするテストが実施される。国から指摘される前に、自宅の環境に「うっかり」がないかをチェックしておこう。

「NOTICE」では、何がチェックされるのか?

 「NOTICE(National Operation Towards IoT Clean Environment)」は、大規模なDDoS攻撃などの深刻な被害を防ぐために、現状、公開されているインターネット上の脆弱なIoT機器に対して注意喚起をしようというプロジェクトだ。

 プロジェクトは総務省とNICTの主導で進められており、NICTが業務を請け負うかたちで、国内のIoT機器に対して、2月20日から脆弱性のチェックが行われる。本サイトのニュース記事「国によるIoT機器へのセキュリティ調査、2月20日よりポートスキャン実施(2月5日付記事)」などでも取り上げられたため、概要を把握している人も多いことだろう。

NOTICEのウェブサイト。その目的や調査方法などが紹介されている

 具体的に何が行われるのかは、NOTICEのウェブサイトに掲示されているが、簡単にまとめると次の通りだ。

対象国内約2億のIPv4グローバルIPアドレス
機器ルーター、ウェブカメラ、センサー
方法ポートスキャン、IDパスワードの入力(100通り)
記録される情報サービスの種類とバージョン、IPアドレス、ポート番号、タイムスタンプ、機種を特定するための情報

 基本的には、ポートスキャンによって空いているポートを調査し、そこに対してどのような機器がつながれているかを確認。その上で、容易に推測できそうなIDやパスワードを入力し、アクセスできるかどうかを試すという方法だ。

 欲を言えば、ルーターやNASのファームウェアバージョンや、すでに公開されている脆弱性が修正されているのかもチェックしたいところだろうが、いかんせん数が多いのと、どこまでが許されるのか? という議論に発展しかねないからか、現段階では上記の範囲に留まっているようだ。

 仮に、脆弱なパスワードなどが検知された場合は、取得したIPアドレスの情報がISPへと伝えられ、ISP経由で個別のユーザー宛てに注意喚起の案内が送られる。

脆弱なパスワードが検出された場合はISP経由で注意喚起の案内がある

 案内が届いてから対処してもいいのだが、推測されやすいパスワードが設定されているなら、国の注意喚起を待つまでもなく今まさに危険な状態なので、すぐにでも対処した方がいい。

 ひとまずは、自宅のネットワーク環境を見直すいい機会だと考え、余計な注意喚起メールが来る前に、設定をチェックしておく方がいいだろう。

 なお、今回のテストの対象はIPv4のグローバルIPアドレスとなっている。このため、自宅のルーターのWAN側にIPv4のグローバルIPアドレスが割り当てられていない場合は、この調査の対象とはならない可能性が高い。

 利用しているISPによっては、プライベートIPアドレスが割り当てられていたり、DS-LiteのようにISP側でIPv4のNATが実施されている場合は、自宅のネットワークの機器に対して調査が及ばない(調査が実施されても機器に到達できない)と考えられる。

まずは自宅ネットワーク機器を棚卸ししよう

 まずは、自宅でどのようなネットワーク機器を使っているかを確認することから始めるのが重要だ。

 Wi-Fiルーター、中継機、PC、スマートフォン、ネットワークプリンター、NAS、ウェブカメラ、テレビ、レコーダー、ゲーム機などなど、思いつく限り、リストアップしてみるといい。

 そして、このうち、外出先からのアクセスが可能になっているものをピックアップしていく。

 上記の例であれば、Wi-Fiルーター、NAS、ウェブカメラなどが代表的だが、例えばレコーダーに対して外出先から録画予約ができる場合なども要注意だ。

 普段の生活を考えて、外出先から「自宅の何か」に対してアクセスしているかどうかを思い返してみるといいだろう。

各機器のIPアドレスを洗い出す方法とは?

 続いて、実際に設定画面にアクセスするために、それぞれの機器のIPアドレスをチェックしていく。

 と言っても、ここがなかなか面倒だ。

 ネットワークの知識がある程度あるなら、コマンドを使ったり、ルーターのステータスや設定情報をチェックすることで判断できる。例えば、DHCPサーバーのIPアドレスの配布状況をチェックすれば、家庭内にある機器の数や、割り当てられているIPアドレスを確認できる。

NetEnum5を利用することで、ネットワーク内の機器をリストアップできる

 よく分からない場合はツールの利用をお勧めする。例えば、窓の杜で紹介されている「NetEnum5」を使えば、ネットワーク内のホストを簡単にリストアップできる。

 右クリックで、検出したホストにアクセスすることもできるので、今回のように家庭内のネットワーク機器をまとめてチェックしたいときには好都合だ。初回実行時に署名がないことで警告が表示されたが、筆者の環境では問題なく動作した。

Wi-Fiルーターによっては、設定画面でネットワーク内の機器をリストアップできる

 なお、Wi-Fiルーターであれば、「192.168.1.1」、「192.168.0.1」、「192.168.11.1」あたりのIPアドレスが割り当てられているはずだ。PCで、ネットワークのプロパティを確認すると、デフォルトゲートウェイに設定されているIPアドレスが分かる。これがWi-FiルーターのIPアドレスなので、そこから判断するのも手だ。

外出先からアクセス可能になっている機器を判断する

 続いて、リストアップした機器のうち、外出先からアクセス可能になっているものを選び出す。

 これは、正直、なかなか難しい。インターネット接続のために利用しているWi-Fiルーターは当然として、NASやウェブカメラなどが外出先からアクセスできるようになっているかは分からないという人も少なくないだろう。

 これには2つの方法がある。

 1つは、NASやウェブカメラの設定画面で、外出先からのアクセス機能が有効になっているかを確認する方法だ。

 2つめは、ルーターの設定画面で確認する方法だ。ポートフォワードやDMZ、UPnPの設定やステータスと確認することで、どのIPアドレスとポートに対して、外部からのアクセスが許可されているかを確認できる。

 この設定がなされていれば、外部からのアクセスが可能になっていると判断できる。

NASの設定画面などでは、外出先からアクセスする機能が有効になっているかどうかを確認できる
Wi-Fiルーターの設定画面で、ポートフォワードやDMZなどの設定を確認。項目が追加されている場合は、外部からのアクセスが有効になっている可能性が高い

機器に設定されたIDとパスワードが安全かどうかをチェック

 ここまで確認できれば、あとはアクセスしてみるだけだ。

 NASやウェブカメラなど、外出先からアクセス可能になっている機器のIPアドレスを指定して、ウェブブラウザーで設定画面にアクセスしてみればいい。

 その上で、IDやパスワードが初期設定のままだったり、単純なものになっているなら、そのまま設定画面からパスワードの変更を実施しておこう。

 例えば、パスワードが「000000」「123456」「password」「admin」などになっているなら、すぐに変更した方がいい。

 参考までに、2018年の最悪のパスワードとして海外のウェブサイト(splashdata)で公開されているのは、「123456」だった。

 この1~2年に発売されたWi-Fiルーターであれば、機器ごとに個別の管理者パスワードが設定されている場合もあるため、出荷時設定のままでも比較的、パスワードが判断されにくい場合もあるが、購入から4~5年が経過しているモデルでは、出荷時に「password」や「admin」といったパスワードが設定されているケースも少なくない。こうした場合は確実に変更しておこう。

 なお、機種によっては、IDの方が「admin」や「root」に固定されている場合がある。より強固なセキュリティという意味では、ユーザーIDも任意のものに変更しておくことをお勧めしたい。ただ、機器によっては変更できない場合がある。そうしたときは、最低でもパスワードだけでも変更しておこう。

機種によっては、ユーザー名を変更できない

 ちなみに、推測されにくいパスワードについては、トレンドマイクロが公開しているこのあたりの記事が参考になるが、日本語をうまく組み合わせることで、海外からの攻撃をしにくくすることもできる。

 NASはまだしも、Wi-Fiルーターのパスワードの場合、滅多に入力しないという人が多いので、あまり複雑なものにすると忘れてしまう可能性がある。このため、ほどほどに複雑で、それでいて忘れにくいものを設定しておき、忘れそうならメモ帳にでも書き留めておくといいだろう。

大文字、小文字、数字、記号の組み合わせが最適と言われるが、実際には記号を受け付けない機器もある。文字種にこだわるより、日本語をローマ字読みして使うなどの工夫が大切

ついでにファームウェアも最新版へアップデートしておこう

 パスワードを変更できたら、ついでにファームウェアを最新のものに更新しておくことを強くお勧めする。

 本誌でも、度々、記事として掲載されるが、Wi-FiルーターやNASなどの機器に搭載されているファームウェアに脆弱性が発見されるのは、さほど珍しいことではない。

 記憶に新しいところでは、2017年10月に報告されたWPA2/WPAの脆弱性「KRACKs」に対し、各社が修正ファームウェアを公開している。

 KRACKsは、インターネット側からのアクセスとは関係ないし、今回のNOTICEの調査の対象にもファームウェアの脆弱性までは含まれていない。このため、あまり意識しない人もいるかもしれないが、Wi-FiルーターやNASといったネットワーク機器を安全に利用するには、複雑なパスワードの設定だけでなく、ファームウェアを最新版に更新しておくことも非常に重要だ。

メーカーによってはセキュリティ情報だけを個別に提供している場合もあるので、一度目を通しておくことをお勧めする

 ファームウェアの更新内容として特に公表されないまま、脆弱性やバグが修正されていることもあるため、定期的に更新しておかないと、外部からの攻撃に対抗できない場合がある。

 最近のWi-Fiルーターは、自動更新機能を搭載しているものがほとんどだが、機種によっては自動更新を有効にしなければならない場合もある。この機会に、手動での更新と、自動更新の有効化を必ず実施しておこう。

 以上、もうすぐ開始されるIoT機器の調査であるNOTICEに関連し、自宅のネットワーク機器の設定を見直す方法を紹介した。正直、面倒なので、「もうNOTICEでの注意喚起を待っていた方がいいや」と思う人も多いかもしれない。でも実際に、ISPからメールや電話が来ると、慌ててしまうこともあるし、良い気分もしない。

 この状況を悪用した詐欺なども発生する可能性があるので、できるなら、自分で事前に対策をしておきたいところだ。